• 締切済み

トロイの木馬が削除できません

ホームページの更新をしていますが、 以下のサイトのトロイの木馬がセキュリティソフトの警告で表示されます。 ttp://impress*****.com/Documents/.htaccess.php Internet Explorer 遮断しました: Trojan-Downloader.JS.Gumblar.x FTPで削除し、再度アップすると警告が出なくなりますが、 また翌日には再度おなじ警告が出てしまいます。 ウイルスセキュリティで格納しているフォルダーもスキャンしても 異常は見られません。 どうしたらトロイの木馬を削除できるでしょうか。 よろしくおねがいします。

みんなの回答

  • robosaku
  • ベストアンサー率0% (0/0)
回答No.10

まず、FTPのパスワードはどのタイミングで変えてますか? パスワードを変えてもウィルスが残っている状態で、汚染されたファイルがアクセスされると、またパスワードが抜かれてしまいます。 1.FTPの作業をするパソコンのウィルスチェックは終わってますか?ちなみにこのマルウェアは、FTP作業するパソコンが汚染されて無くても、LAN上に汚染マシンがあるとアウトです。LAN上のWindows2000とXPはチェックしてください。 2.汚染ファイルにアクセスさせないために、.htaccessでリダイレクトして他のサーバに閲覧者を誘導するか、思い切ってサーバの中を空っぽにしてください。ポイントは「作業中はサーバ内のどのファイルもブラウザからアクセスさせない」です。 3.ここで、FTPのパスワードを変えます。 4.健康なファイルをアップします。 以上が、手順です。 ちなみに拙作agc.phpも更新してます。お試しください。

  • John_Papa
  • ベストアンサー率61% (1186/1936)
回答No.9

No.1のJohn_Papaです。 まだこの質問は締め切られてないんですね。 昨日配信のニュース 「わずか1カ月間に国内の1250サイト以上感染 - 「Gumblar」が猛威」 http://www.security-next.com/011513.html カスペルスキーでは、 「従来のガンブラーと比較して、調査を阻害するような機能が強化されていることが確認されています。このため、現時点ではほとんどのウィルス対策ソフトが対応できていない状態であり、十分な注意が必要です。 カスペルスキー製品では、現在出まわっている 新型 Gumblar に対応していますので、感染の確認ならびに駆除を行うには、評価版をご利用ください。」と呼びかけている。

  • robosaku
  • ベストアンサー率0% (0/0)
回答No.8

チェックスクリプトを書いてみました。 ---------------------------------------------------------------------------------------------------- agc.phpについて このスクリプトはGumblar.xというウィルスのサーバ側のチェックプログラムです。 PC側の汚染は、各種ウィルスチェッカでできると思いますが、このウィルスはサーバに設置された各種HTML・javascript・PHPに寄生します。 このagc.phpはウィルスの駆除はしませんが、簡易チェックをするためのツールです。 汚染された可能性のあるファイルを検査して表示します。Gumblar.xが持つ特徴的な部分に対してチェックをしていますので、完全ではないかもしれませんが警告が出たら入れ替えるか疑ってみてください。 ■とても大事なことです このスクリプトはPHPでできています。私自身プログラマではないので気の利いたコードではないと思います。 ですが、このスクリプトの性格上、これに悪意のある改ざんをされると、とんでもない事になります。 このような理由で、配布は禁止します。唯一 http://www.amadare.co.jp からダウンロードした物だけが信頼性がある物と考えてかならずここからダウンロードしてください。 リンクはフリーでかまいません。アーカイブを配布することはご理解の上、ご遠慮ください。 ■設置方法 FTPなどでagc.phpをサーバにアップしてください。できればindex.htmlがある階層がいいですね。 そしてブラウザから、 設置したドメイン/agc.php にアクセスしていただければ完了です。

参考URL:
http://www.amadare.co.jp
  • John_Papa
  • ベストアンサー率61% (1186/1936)
回答No.7

No.1のJohn_Papaです。 対処方を書き忘れていました。 対処法は、Gumblar別名GENOウイルスに準じます。 「GENOウイルスまとめ」 http://www29.atwiki.jp/geno/ 「通称「GENOウイルス」・同人サイト向け対策まとめ」 http://www31.atwiki.jp/doujin_vinfo/ PCに発症する症状も様々で、全く気付けないものも有ったようです。 レンタルホームページサーバー管理会社のPCが感染し、そのPCで改ざん対応や点検を行ったため、多くのサーバー利用者が未感染でホームページを改ざんされたケースが有りました。 また、Gumblarウイルスは1週間程度で新しいものが発生し、セキュリティソフトが全種を検出可能かどうかはわかりません。 自分のPCのGumblar感染のチェックとして、コマンドプロンプトを起動し、netstat /b というコマンドを実行されることを推奨いたします。 このコマンドは、どのプログラムがどのポートを使ってネット接続したかを表示します。 IEXPLORE.EXEとかalg.exeとかセキュリティソフトのアップデートなど既知のソフト以外が接続していないか簡易的に調べる事ができます。GENOウイルス感染PCにてcmd(コマンドプロンプト)が起動できない症例が有ったのは、このチェックを妨害する目的であったろうと推測します。 netstat /b 5 とすると5秒ごとに自動更新します。Cドライブのルートにnetstat.txtというログを取るには、netstat /b 5 >c:\netstat.log とし、この場合はコマンドプロンプトウインドにはデータ表示されるべきものがc:\netstat.logに書き込まれウインドには表示されません。終了は[Ctrl]+[C]を押します。 PC起動中に何度か繰り返し、これで、ネット接続するプロセスがわかりますので、インターネットで検索して正常と判断できるものばかりであれば、PCに感染が無い可能性は高くなります。サイトの管理会社と連絡を取り協力して再改ざんが起こらないように対策を進めてください。 不明なプロセスが見つかる場合、たとえば、http://www.processlibrary.com/ja/などのプロセス検索サイトで検索して全く不明のプロセスとか危険性の高い物が見つかるようだと、セキュリティソフトでも検出できないようですからリカバリー(クリーンインストール)しか手立てが無いと思われます。 そのプロセスのファイルをVirustotal http://www.virustotal.com/jp/ にアップロードして、対応可能なセキュリティソフトがあるかどうかくらいは解かります。

  • John_Papa
  • ベストアンサー率61% (1186/1936)
回答No.6

No.1のJohn_Papaです。 追加コメントしておきます。 昨日のニュースに、Gumblarドメインが復活して活動中であることが掲載されておりました。 http://www.computerworld.jp/topics/vs/167069.html 今年の春、改ざんされたサイトを閲覧した際に感染したPCが発症(ID・パスワード盗難)を免れていたとしても、未処置のまま使い続けていたら発症(FTP管理サイトの改ざん)する可能性があります。 つまり、最近感染したのではなく半年ほど前の感染が原因という事も有り得ます。 No.1に記載したスクリプトは、今までのものとは全く違います。 かつての、JSRedir-Rではセキュリティソフトavast!が非常によく検出していたのですが、 今回のスクリプトではavast!は無反応、Virustotalにて  AntiVir HEUR/HTML.Malware  Kaspersky Trojan-Downloader.JS.Gumblar.x  McAfee-GW-Edition Heuristic.HTML.Malware の3社が検出できるのみでした。  K7AntiVirus(ウイルスセキュリティZERO)では検出できておりません。 http://www.virustotal.com/jp/analisis/40d3c14b4a14c824b2f57186ed1140a45a295f22d3cf09f1667197fa6816f4be-1257497300

  • Hageoyadi
  • ベストアンサー率40% (3145/7860)
回答No.5

http://okwave.jp/qa5422697.html の#1以外をご覧になってください。

  • tuiteru7
  • ベストアンサー率29% (77/257)
回答No.4

◆Windowsの復元機能を使えば解決すると思います。 具体的には セーフモードでのシステムの復元方法 http://www.higaitaisaku.com/safemode.html パソコンとモデムの接続端子(どちらか片方)をはずしてから、 スタート→プログロム→アクセサリー→システムツール→システムの 復元→コンピュータを以前の状態に復元するにチェックを入れる→ 正常に機能していた日を選択→次に→OK→自動的に再起動して Windowが開く 私はこの方法でウィルスなどから3回助けられました。 試してみる価値はあると思います。 やる前にデータのバックアップはしておいて下さい。 前もって復元ポイントを作っておかないと復元できないので、OSの 細かい設定変更、アプリケーションのインストール前には 必ず復元ポイントを作成して下さい。(復元を何度もやると不具合の 原因になるので、リカバリするしか解決できない時だけ利用して下さい) それと、ルータはウィルスなどの進入防止になるので、使用 した方がいいですよ。 最近の投稿を読むと、システムの復元を否定する内容が見られますが、 私の場合は不具合は起こらず3回助けられました。 また、私のシステムの復元のアドバイスを実行して4人の方から お礼メールが届きました。必要以上に心配することはないと思います。 (ただし、100%成功するわけではないので、だめだった場合はリカバリの 覚悟をしておいて下さい。私の成功率予想は90%。)

  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.3

少々補足しておきますが、質問者さんがご利用のウイルス対策ソフトはソースネクストのウイルスセキュリティで、このソフトの検出名称は、カスペルスキーの命名によるものも非常に多いです。ただしそれは、検出名を拝借しているに過ぎません。検出能力そのものはカスペルスキーよりはるかに劣ると言われており、その辺には注意しないといけません。 つまり、ウイルスセキュリティで検出出来ない感染も、カスペルスキーなら見つかる可能性は少なくないということです。ですが、見つかってもそれが単純かつ完全に処理出来るかどうかは断言出来ないので、カスペルスキー製品やオンラインスキャンを利用することに固執して、対応が遅れることは絶対に避けなくてはいけません。 とは言え、当方はウイルスセキュリティが利用するに値しないソフトであるとも言うつもりはありません。 昨今の感染は以前のものよりも深刻になってますが、OSやアプリケーションソフトのウイークポイントを効果的に突くものが大多数を占めます。 そうしたウイークポイントのカバーをウイルス対策ソフトに一手に引き受けさせるという対策法に無理があるということなのであり、ウイークポイントそのものをきちんと解消していくこと、あるいはそのために必要な情報をきちんと知るようにすることを怠らなければ、多少対策ソフトの能力が低くても十分に感染を防ぐことは可能であると考えます。 前回の回答で示したような感染対策を十分に講じた上でなら、ウイルスセキュリティの継続利用にけちをつけるつもりはありません。

  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.2

Gumblarについて少しだけ検索してみました。 被害が多発する「Gumblarウイルス」への対策を実施しよう http://internet.watch.impress.co.jp/cda/special/2009/05/21/23523.html Gumblar絡みのサイト改ざんの原因は、FTPサーバのIDやパスワードの漏洩であるという記述があります。そちらのPCもそうした感染に遭い、IDやパスワードが漏洩している可能性が大だと思われます。 パスワードが漏洩した状態では、いくら修正をかけても改ざんはなくなりません。サイトは一旦即時閉鎖されるべきでしょう。 >ウイルスセキュリティで格納しているフォルダーもスキャンしても 異常は見られません。 おかしいな、と思ったら、PC全体のスキャンを。これ基本かつ常識です。少なくとも今回の事例では、ソース改ざんはFTPサーバ上で行われている可能性が高く、その場合にはいくらローカルに保存されたソースを調べても意味がありません。 そうではなく、パスワード漏洩に繋がる感染を見つけ、除去する方向で行くべきです。とは言え、常駐保護によって検出されていないのですから、ウイルスセキュリティでは対応が出来ない感染かも分かりません。 感染確認のためには、カスペルスキーもしくはF-Secureのオンラインスキャンを補完的に使われるのがお勧めです。 http://www.kaspersky.co.jp/virusscanner http://www.f-secure.com/ja_JP/security/security-lab/tools-and-services/online-scanner/index.html ただし今回の場合、何らかの感染に遭っているのがほぼ確実だと見られますし、Gumblarの一種であるGENOウイルスに関しては、除去が困難であるという報告もあります。この種の感染は一般的にも事後処理が難しいことが少なくないので、早い段階でリカバリを決断されるのも選択肢の一つだと考えます。 リカバリ後は速やかにWindows Updateを受け、また感染の原因となりやすいFlash PlayerやAdobe Readerなどのアプリケーションソフトを最新のものに更新することが必須です。このようにして、再感染を防ぐ手段を十分講じた上でFTPサーバのパスワード変更を必ず行ってください。 パスワード変更が行われないと、サイト改ざんはなくならないと思われますが、感染が残るPC上から変更を行っても、新しいパスワードが漏洩しては元の木阿弥です。 こうした昨今の深刻な感染を防ぐために、きちんとした知識を身に付けられるべきでしょう。次のサイトの初心者向けコンテンツから理解を。 国民のための情報セキュリティサイト http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.htm ちなみに…記されたURLへのアクセスを試しに行いました(感染対策は何十にも十二分に施した上でですので、他の方が安易にマネをされることはご遠慮ください)。404ページの表示後、しばらくしていきなりAdobe Readerが起動し、何らかのPDFファイルを表示しようとしました。当方のAdobe Readerは最新版に更新した上で、JavaScriptを無効化してありましたのでこれ以上何も起こりませんでしたが…いかにもGumblar系っぽい所作だったことを報告しておきます。

  • John_Papa
  • ベストアンサー率61% (1186/1936)
回答No.1

.htaccess.phpですか、如何にも怪しいネーミングですね。 このファイルにアクセスすると暗号化されたscriptを吐き出してきますね。 それで、KasperskyがTrojan-Downloader.JS.Gumblar.xだと警告するのでしょう。 FTPアップロード直後はKasperskyの警告が無いのなら、WEBサイト側で書き換えられていると考えるのが妥当でしょう。 サイト管理もしくはFTPのID・パスワードが盗まれているということにもなるでしょう。 あなた以外にID・パスワードを知っている人物がいれば、その人を含めてチェックする必要があるでしょう。 管理があなただけなら、PCがKasperskyでも見つけられないウイルスに感染しているかも知れません。 以下に、吐き出されるスクリプトの最初と最後の2行づつを記載しておきます。覚えが有りますか? 無ければ「サイト改ざん」攻撃を受けているという事です。 >// 404 <script> >I9Ni=24;if(prompt)I9Ni='';gwG=unescape('%'+I9Ni); >(ここは暗号化部分。危険回避のため、省略) >eval(unescape(SVx9b.replace(/[:Il]/g,gwG))); >//</script> 正規の内容ならスクリプトを暗号化する理由があるのでしょうか。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. スパイウェア

関連するQ&A

  • トロイの木馬について

    トロイの木馬について 先日、taspoのサイトでtaspoカード申請書のソフトとadobe AIRをインストールし、しばらくしたらウイルスバスター2010が表示され、トロイの木馬を隔離しました。脅威を根絶するために再起動をしてくださいと表示されたのでパソコンを再起動し感染ファイルを削除し、トロイの木馬のプログラムも削除しようとしました。しかし、二つのうち一つは削除したのですが、もう一つはコンピューターによってファイルがロックされているかファイルへのアクセス権がありませんっと表示され削除できませんでした。 どうすれば削除できるのでしょうか? また削除しなくても隔離されている状態なら脅威にならないのでしょうか? トロイの木馬が検出された二日後、再びtaspoのサイトを閲覧したとき またもトロイの木馬が検出されました。どちらもJS_GUMBLAR.SMNYというものです。 taspoのサイトで安心してアクセスしていたのですが・・・。これは誤検知なのでしょうか? それともtaspoのサイトが改ざんされているのでしょうか?(最近ニュースでJS_GUMBLARが流行していると聞いたもので。) パソコンに弱いのでよくわかりません。 教えてください。お願いします。

  • トロイの木馬の誤検出でしょうか?

    トロイの木馬の誤検出でしょうか? 初めて投稿いたします。 本日、WEB閲覧中に使用アンチウィルスソフト(カスペルスキー2009)が 「Trojan.JS.Redirector.ar」を検知しました。と警告がでました。 遮断と削除をしてくれてはいるものの、IEでWEBを閲覧していると 何度も、上記のトロイを検知し遮断の繰り返しが続いています。 完全スキャンでは異常なく、スパイボットも導入してスキャンして見ましたが、 特に反応はありませんでした。 同様の症状の方や、上記の症状に詳しい方 是非、対処法をよろしくお願いします。

  • トロイの木馬

    本日Microsoft Security EssentialsでTrojan:JS/Seedabutor.B、警告レベル重要 またSecurity Essentialsで次のエラーが発生しました:エラーコード 0x80508023。 このコンピューターでは、マルウエアやその他の望ましくないソフトウエアは見つかりませんでした。 と表示されました>< カテゴリはトロイの木馬でした。 実行した操作に「検疫済み」と書かれていたのですが、これはもう放置しておいても大丈夫ということなのでしょうか…? ご回答よろしくお願いいたします<m(__)m>

  • ウェブ閲覧中にトロイの木馬が検出されました。

    昨日、ネット中にカスペルスキーが反応し、 Trojan-Downloader.JS.Agent.hq が検出されましたと、赤い通知ウインドウが出ました。 その時はパニくってしまって、すぐ拒否のボタンを押して 閉じてしまったので、よく覚えてないのですが、 駆除も削除もできなかったと書いてあったと思います。 上記のトロイの木馬は、ウイルス百科事典には載ってましたが 対処方法が書いてありませんでした。 検索しても海外のサイトが出てくるだけです。 とりあえず、完全スキャンを2度しましたが、2度とも 「脅威は検出されませんでした」と出ました。 今、検知のタブを見てみると 検知しました トロイTrojan-Downloader.JS.Agent.hq とオブジェクトの欄にはそのウェブページらしいアドレスがのっています。 イベントのタブを見てみると、 悪意があるHTTPオブジェクト <http://略>: にトロイ Trojan-Downloader.JS.Agent.hqを検知しました 悪意があるHTTPオブジェクト <http://略>: アクセスが拒否されました と書いてあるので、カスペルスキーが防御してくれたのでしょうか? とりあえずは安心していいのでしょうか。

  • トロイの木馬

    ウィルスチェックしたところ、 『Trojan-Downloader.win32.IstBar.go』 というウィルスを発見したんですが、駆除できません。 トロイの木馬っぽいのですが・・・。 駆除ソフトをダウンロードできるわかりやすいサイトはありますか?

  • トロイの木馬ですか

    皆さん、こんにちは。 ノートンインターネットセキュリティ2004を使用しています。パソコンを立ち上げたらセキュリティ警告が出ました。内容は、「Blaトロイの木馬を使ってローカルコンピュータに接続しようとする試みを検出しました。」警告アシストの警告の原因には「IPアドレス192.168.1.1のコンピュータがBlaトロイの木馬のデフォルト遮断を使ってこのコンピュータに接続しようとしました。」というものです。このIPアドレスはルータのものだと思います。WindowsUpdateは実施しています。何か対策等打ったほうが良いのでしょうか。よろしくお願いします。

  • トロイの木馬

    つい先日ノートンインターネットセキュリティ2003を入れたのですが、早速今インターネットをしていると警告のようなものが出ました。 《ルールBackdoor/SubSevenトロイの木馬のデフォルト遮断が一致》 と表示されたのですが、これって何なのでしょうか? 教えてください。

  • トロイの木馬を削除できますか?

    E-bookと言う所からツールを手に入れたのですが、解凍して使おうとするとセキュリティが起動して、「トロイの木馬を削除した」と言うのですが、削除されたのだから使えるのかとツールをクリックするのですが、また、、「トロイの木馬を削除した」と表示。 さらにWindowsセキュリティがファイルのアクセスをブロックしました共、表示されます。 やはり、ツールからトロイの木馬が削除されてないのではと思います。 古いウイルスなので自分でも出来るではないかと思いますが、どうでしょうか?

  • トロイの木馬に感染してしまいました。

    こんにちは、 最近firewallから「NetBusトロイの木馬のデフォルト遮断」 という警告が出るようになってしまったのですが、 Norton Antivirusでスキャンしてもなにも見つかりません。 そこでPast Patrolのオンラインスキャンをしたら、 Unknown Trojan-Backdoorというものが見つかりました。 C:\Documents and Settings\user\Local settings\temp\ のsintfnt.dllとsintf32.dllの2つが感染しています。 システムの復元を無効にして、この2つを削除してもすぐにもとに戻ってしまいます。 WindowsXPsp2でNorton Internet Security2004を使っているのですが、 どのように対処すればいいのでしょうか。

  • トロイの木馬に感染してしまったのでしょうか?

    トロイの木馬に感染してしまったのでしょうか? 使っているパソコンは、富士通の FMV CE50Y9で、 windows vistaです。 セキュリティは、マイクロソフトエッセンシャルです。 パソコンを起動させるたびに、「開いているファイル」のウインドウが出てきて 実行するかキャンセルするか聞いてきます。 キャンセルをすると、 「潜在的な脅威が検出され、一時停止されている。  この脅威を削除するにはコンピュータから削除するを  クリックして。」 という指示が出ます。 これが2~3回繰り返され、その後、エッセンシャルの履歴を見ると 検出された項目のところに、下記のものが検疫済みとして出てきます。 カテゴリは、「トロイの木馬」となっています。 Trojan:JS/Dursg.G Trojan:Win32/Dursg.C Worm:Win32/Prolaco.gen!c 全て削除というところをクリックするのですが、 何度、再起動しても、同じ一連のこの動作を繰り返すことになります。 今は、このパソコンをネットに接続できないようにしています。 (もう一台のパソコンで、こちらに質問しています。) この状態は、すでにトロイの木馬に感染してしまっているのでしょうか? それとも、感染までは行かずに、セキュリティで止められている状態なのでしょうか? この一連の動作をとめるために、どのようにしていったらいいでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する